このハッカーは、AppleのWebブラウザ「Safari」に存在するセキュリティ・ホールをターゲットにしてコンテストに優勝したという。CanSecWestの運営者の1人であるショーン・コモ氏は、「現時点で流通しているOS Xはすべて、このセキュリティ・ホールによって脆弱になっている」と指摘する。
コンファレンス運営者らは、Macにもセキュリティ上の欠陥があることを広く知らしめるために今回のコンテストを開催することにしたとしている。
CanSecWestをはじめ複数のセキュリティ関連コンファレンスで運営主任者を務めてきたドラゴス・ルイウ氏は、「OS Xを使用しているユーザーで、Macの安全性を口にする人は非常に多いが、実際のところ、AppleよりMicrosoftのほうがセキュリティ向上に力を入れている」と述べた。
コンテスト参加者は当初、無線アクセス・ポイントを経由して、何のプログラムも動作していない2台のMacに接続するよう求められていた。だがこれに成功した者が1人も出なかったため、コンファレンス運営者らは、参加者が電子メールでURLを送信することで、Webブラウザ経由で当該のMacにアクセスすることを許可した。
この条件下でセキュリティ・ホールをつくURLを送ってきたのが、米国ニューヨーク州に住むディノ・ディ・ゾフィー氏だった。コンテストに参加できるのは今回のCanSecWestの出席者だけであったため、ディ・ゾフィー氏はコンファレンス会場にいた友人にURLを送信し、これをコンテスト運営者に転送してもらった。
同URLにアクセスすると空白のページが開くが、実はこれがSafariの入力処理に関する脆弱性につけ込む動作であったと、コモ氏は説明する。同脆弱性を悪用する方法は数多く考えられるが、ディ・ゾフィー氏はこれを用いてバックドアを仕掛け、そこからMac上のあらゆるコンポーネントにアクセスできるようにしたという。
問題の脆弱性の詳細は公表されていない。Appleに対する結果報告は、賞金を用意したスリーコムのティッピングポイント部門が責任を持って行うとしている。
もともとはコンテストで使われたMacの1台が賞品とされていたのだが、ティッピングポイントは4月19日夜に急遽賞金を出すことを決め、これによってコンテストへの関心がにわかに高まった。
ティッピングポイントのセキュリティ・レスポンス担当マネジャー、テリー・フォースロフ氏は、Macがハッカーの標的になりにくかった理由について、そもそも攻撃対象となるMac自体が少なかったからだと分析している。「要は見返りの問題だ。MacはWindowsなどのプラットフォームほどには普及していない」(同氏)。
今回の場合、賞金が魅力的な見返りになったわけだ。
以前から自分の侵入テクニックに自信を持っていたハッカーにとって、今回のコンテストは腕の見せ所だったようだ。「これまでも、Macに侵入するのがいかに容易であるかを指摘する人と何度も出会ったことがある」(ルイウ氏)
一部のコンファレンス参加者は、Appleが19日の晩にOS Xの脆弱性25件を修復するパッチをリリースしたのは、決して偶然ではないと見ている。
Windowsマシンには、ハッキングや不正コードの格好のターゲットにされてきたという経緯があるが、Macはそこまでの被害は受けてこなかった。これは、利用数が絶対的に少ないMacを不正コードの標的にしても、広く使われているPCと同等の影響を及ぼすことができないためだ。
「OpenBSD」プロジェクトのリーダーであり、先のコンファレンスにも出席したテオ・デ・ラート氏は、「脆弱性の暴露に際してきわめて強硬な法的措置を取る」Appleの体質についても言及した。
「ハッカーがAppleから受け取った脅迫まがいの書簡を公開し始めれば、同社こそが“悪者”であるように見えてしまい、痛手を被ることになるだろう」と同氏は懸念を示している。
(ナンシー・ゴーリング/IDG News Service シアトル支局)